Wednesday, June 30, 2010

Digital Forensics Magazine


I just learned of a new resource for digital forensics practitioners -- Digital Forensics Magazine. They just published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir third issue. This appears to be a high quality publication with authors like Mark D. Rasch (The Fourth Amendment: Cybersearches, Particularity and Computer Forensics), Solera's Steve Shillingford (It's Not About Prevention), and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Check it out!

Friday, June 25, 2010

Comments on Sharkfest Presentation Materials

I saw that presentations from Sharkfest 2010 are now posted. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third year that CACE Technologies has organized this conference. I've had conflicts each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last three years, but I think I need to reserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dates for 2011 when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are available. In this post I wanted to mention a few slides that looked interesting.

Jasper Bongertz presented Wireshark vs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cloud (.pdf) I reviewed this presentation to see if anyone is doing something novel regarding monitoring Cloud environments. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slide at right you see his first option is to install a monitoring tool inside a VM. That's standard.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next slide you see his second option is to select a link upstream from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM server and tap that line. That's standard too. I know of some cloud providers who use this strategy and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n filter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. You will likely need some robust equipment, depending on active cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link is.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last slide you see that future options include ensuring that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual switch in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM server provide instrumentation options. From my limited understanding this should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with expensive solutions like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cisco Nexus 1000v, but I don't have any personal experience with that. Any comments from blog readers?

I also wanted to mention SPAN Out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Box (.pdf) by John He of Dualcomm Technology. In his presentation he advocates replacing a tap with a switch used only for port mirroring, as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slide at left. He's mainly trying to compete on price, since his "USB Powered 5-Port Gigabit Desktop Switch with Port-Mirroring & PoE Pass-Through" sells for $139.95 on his Web site. I'll ask Mr He if I could get a demo switch to see how well it works.

Dealing with Security Instrumentation Failures

I noticed three interesting blog posts that address security instrumentation failures.

First, security software developer Charles Smutz posted Flushing Out Leaky Taps:

How many packets does your tapping infrastructure drop before ever reaching your network monitoring devices? How do you know?

I’ve seen too many environments where tapping problems have caused network monitoring tools to provide incorrect or incomplete results. Often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues last for months or years without being discovered, if ever...

One thing to keep in mind when worrying about loss due to tapping is that you should probably solve, or at least quantify, any packet loss inside your network monitoring devices before you worry about packet loss in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 taps. You need to have strong confidence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accuracy of your network monitoring devices before you use data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to debug loss by your taps. Remember, in most network monitoring systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are multiple places where packet loss is reported...

I’m not going to discuss in detail cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many things that can go wrong in getting packets from your network to a network monitoring tool... I will focus largely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting symptoms and how to detect, and to some degree, quantify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I’m going to focus on two very common cases: low volume packet loss and unidirectional (simplex) visibility.


Read Charles' post to learn ways he deals with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues.

Next I'd like to point to this post by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West Point Information Technology Operations Center on Misconfiguration Issue of NSA SPAN Port:

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 input we have already received on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2009 CDX dataset, we have identified an issue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA switch was configured. Specifically, we believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 span port from which our capture node was placed was configured for unidirectional listening. This resulted in our capture node only "hearing" received traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red cell.

Doh. This is a good reminder to test your captures, as Charles recommends!

Finally, Alec Waters discusses weaknesses in SIEMs in his post Si(EM)lent Witness:

[H]ow can we convince someone that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence we are presenting is a true and accurate account of a given event, especially in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is little or no evidence from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources...

D]idn’t I say that vendors went to great lengths to prevent tampering? They do, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se measures only protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device already. What if I can contaminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence before it’s under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIEM’s protection?

The bulk of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information received by an SIEM box comes over UDP, so it’s reasonably easy to spoof a sender’s IP address; this is usually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sole means at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIEM’s disposal to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message. Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves (syslog, SNMP trap, netflow, etc.) have very little provenance – cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s little or no sender aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication or integrity checking.

Both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se mean it’s comparatively straightforward for an attacker to send, for example, a syslog message that appears to have come from a legitimate server when it’s actually come from somewhere else.

In short, we can’t be certain where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages came from or that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir content is genuine.


Read Alec's post for additional thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validity of messages sent to SIEMs.

Thursday, June 24, 2010

CloudShark, Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Packet Repository in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cloud

I've been interested in online packet tools for several years, dating back to my idea for OpenPacket.org, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n continuing with Mu Dynamics' cool site Pcapr.net, which I profiled in Traffic Talk 10.

Yesterday I learned of CloudShark, which looks remarkably similar to Wireshark but appears as a Web application.

I generated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture at right by downloading a trace showing FTP traffic from pcapr.net, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n uploading it to CloudShark. Apparently CloudShark renders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trace by invoking Tshark, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Wireshark-like components separately. You can access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trace at this link. CloudShark says:

While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URLs to your decode session are not publicly shared, we make no claims that you data is not viewable by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r CloudShark users. For now, if you want to protect sensitive data in your capture files, don't use CloudShark.

Using Tshark is pretty clever, though it exposes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CloudShark back end to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety of vulnerabilities that get fixed with every new Wireshark release. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same concern I had with OpenPacket.org, which limited that site's effectiveness. Incidentally, I have nothing to do with OpenPacket.org now, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been rumors that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site will get some attention at some point.

For comparison's sake, I took a screen capture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same FTP pcap as rendered by Pcapr.net. Personally I think it's a great idea to use a front end that everyone should understand -- i.e., something that looks like Wireshark.

At this point I think CloudShark is more of a novelty and maybe an educational tool. It would be cool if various packet capture repositories joined forces, but I don't see that happening.

Monday, June 21, 2010

All Aboard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM Train?

It was with some small amusement that I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following two press releases recently:

First, from May, NetWitness® and ArcSight Partner to Provide Increased Network Visibility:

NetWitness, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world leader in advanced threat detection and real-time network forensics, announced certification by ArcSight (NASD: ARST) of compliance with its Common Event Format (CEF) standard. ArcSight CEF certification ensures seamless interoperability and support between NetWitness’ industry-leading threat management solution and ArcSight’s security information and event management (SIEM) platform.

Let me parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market-speak. This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r indication that an ArcSight user can click on an event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIM console and access network traffic captured by NetWitness.

Second, from June, Solera Networks™ and Sourcefire™ Announce Partnership:

Solera Networks, a leading network forensics products and services company today announced its partnership with Sourcefire, Inc. (Nasdaq:FIRE), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creators of SNORT® and a leader in intelligent Cybersecurity solutions. Solera Networks can now integrate its award-winning network forensics technology directly into Sourcefire’s event analysis. The integration enhances Sourcefire’s packet analysis functionality to include full session capture, which provides detailed forensics for any security event. The partnership enables swift incident response to any security event and provides full detail in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest of understanding “what happened before and after a security event?”

Martin Roesch, founder and CTO of Sourcefire. “There is a powerful advantage in being able to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full content of every attack on your network. Network forensics from Solera Networks compliments Sourcefire’s IPS and RNA products by letting you see everything that led up to and followed a successful prevention of an attack.


This press release is a little clearer. This is an indication that a Sourcefire user can click on an event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sourcefire console and access network traffic captured by Solera.

This second development is interesting from a personal level, because it shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Security Model has finally been accepted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developer (Marty Roesch) of what is regarded as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most popular intrusion detection system (Snort).

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, after over eight years of evangelizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to collect NSM data (at its core, full content, session, statistical, and alert data) in order to detect and respond to intrusions, we see Sourcefire partnering with Solera to pair full content network traffic with Snort alert data. It's almost enough to bring a tear to my eye. "Yo Adrian! I did it!"

Mike Cloppert on Defining APT Campaigns

Please stop what you're doing and read Mike Cloppert's latest post Security Intelligence: Defining APT Campaigns. Besides very clearly and concisely explaining how to think about APT activity, Mike includes some original Tufte-esque figures to demonstrate APT attribution and moving up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kill chain.

Sunday, June 20, 2010

Full Disclosure for Attacker Tools

The idea of finding vulnerabilities in tools used by attackers is not new. It's part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger question of aggressive network self defense that I first discussed here in 2005 when reviewing a book of that title. (The topic stretches back to 2002 and before, before this blog was born.) If you follow my blog's offense label you'll see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r posts, such as More Aggressive Network Self Defense that links to an article describing Joel Eriksson's vulnerability research into Bifrost and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r remote access trojans.

What's a little more interesting now is seeing Laurent Oudot releasing 13 security advisories for attacker tools. Laurent writes:

For example, we gave (some of) our 0days against known tools like Sniper Backdoor, Eleonore Exploit Pack, Liberty Exploit Pack, Lucky Exploit Pack, Neon Exploit Pack, Yes Exploit Pack...

If you're not familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of tools, see an example described by Brian Krebs at A Peek Inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ‘Eleonore’ Browser Exploit Kit.

Why release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se advisories?

It's time to have strike-back capabilities for real, and to have alternative and innovative solutions against those security issues.

I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept, but not necessarily with releasing "advisories" for attacker tools. Laurent claims cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are "0days". This would imply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacker tools did not know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities. By publishing advisories, attackers now know to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Assuming "customers" heed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advisories and update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software, this process has now denied security researchers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who conduct counter-intruder operations access to attacker sites. This is tactically counterproductive from a white hat point of view.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, developers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacker tools might already know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities, and might have already patched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. In this case, publishing advisories is more about creating some publicity for Laurent's new company and for his talk last week. (Did anyone see it?)

I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. Security researchers are already penetrating attacker systems to infiltrate botnet command and control servers and do ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r counter-intruder operations. These activities increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black hat cost to conduct intrusions, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more resources cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers have to divert to defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own infrastructure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fewer resources cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can direct at compromising victims.

However, disclosing details of vulnerabilities in attacker tools is likely to not work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 white hat's favor. White hats are bound by restrictions like laws and rules that black hats routinely break. Announcement of a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Eleonore exploit kit is not going to unleash a wave of activity against black hats like announcement of a vulnerability in Internet Explorer. It's likely that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few researchers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs wearing white hats will not learn much from a public announcement due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir independent research, while mass-targeting attackers (who historically are not great developers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves) will disproportionately benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure.

What do you think? Should white hat researchers publish security advisories for black hat tools?

Monday, June 14, 2010

Can Someone Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Afghanistan Math?

I'm sure most of you have read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NY Times story U.S. Identifies Vast Mineral Riches in Afghanistan:

The United States has discovered nearly $1 trillion in untapped mineral deposits in Afghanistan, far beyond any previously known reserves and enough to fundamentally alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Afghan economy and perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Afghan war itself, according to senior American government officials...

Instead of bringing peace, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newfound mineral wealth could lead cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Taliban to battle even more fiercely to regain control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country...

The mineral deposits are scattered throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country, including in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn and eastern regions along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 border with Pakistan that have had some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most intense combat in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American-led war against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Taliban insurgency.


I'd like to make two points.

First, I see dollars and a security problem. Can someone do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Afghanistan math? In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, how much should be spent on security in Afghanistan in order to yield a worthwhile "return on investment"?

Second, this sounds like a "Road House" scenario, like I described four years ago in my post Return on Security Investment. I've always been troubled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of scenarios, meaning I'm not exactly sure how to think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two general sorts of security scenarios to consider:

  1. An environment has transitioned from a "secure" state to a "nonsecure" state due to intruder activity, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team wants to promote a return to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "secure" state

  2. An environment suffers a "nonsecure" state, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team wants to promote a transition to a "secure" state


Most digital security work is Type 1, meaning an enterprise (presumably) begins intruder-free, transitions to a nonsecure state due to intruder activity, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team works to return to a secure state. That is a loss prevention exercise, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team seeks to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business activity but doesn't add to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business activity.

Scenarios like Road House and Afghanistan's mineral wealth appear to me to be Type 2, meaning chaos reigns, and by spending resources a security team can produce a real "return on investment" by enabling a business activity that was previously not possible.

What do blog readers think?

Saturday, June 12, 2010

Light Bulbs Slowly Illuminating at NASA?

I've seen a few glimmers of hope appearing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .gov space recently, so I wanted to note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here.

Linda Cureton in her NASA CIO blog said:

We have struggled in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area of cyber security because of our belief that we are able to obtain this ideal state called – secure. This belief leads us to think for example, that simply by implementing policies we will generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate actions by users of technology and will have as a result a secure environment. This is hardly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth. Not to say that policies are worthless, but just as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 55 mph speed limit has value though it does not eliminate traffic fatalities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policies in and of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves do not eliminate cyber security compromises.

Army General Keith Alexander, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation's first military cyber commander, described situational awareness as simply knowing what systems' hackers are up to. He goes on to say that with real-time situational awareness, we are able to know what is going on in our networks and can take immediate action.

In addition to knowing our real-time state, we need to understand our risks and our threat environment... It is through an understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of our specific environment and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 particular risks and threats we face where we can take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right actions to produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results that we need.


Well said. Will anyone else pay attention?

Friday, June 11, 2010

NITRD: "You're going cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong way!"

If you remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great 1980's movie "Planes, Trains, and Automobiles" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of this post will make sense. When Steve Martin and John Candy are driving down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highway, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r motorist yells "You're going cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong way!" They deluded pair reply "How do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know where we're going?"

I am starting to feel like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motorist yelling "You're going cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong way!" and I'm telling Federal research efforts like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Networking and Information Technology Research and Development (NITRD) Program. This program describes itself thusly:

The NITRD Program is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary forum by which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Government coordinates its unclassified networking and information technology (IT) research and development (R&D). Fourteen Federal agencies, including all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 large science and technology agencies, are formal members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NITRD Program, whose combined 2010 networking and IT R&D budgets totaled more than $4 billion.

This program proposes three Federal Cybersecurity Game-change R&D Themes:

  1. Tailored Trustworthy Spaces: Tailored Trustworthy Spaces (TTS) provide flexible, adaptive, distributed trust environments that can support functional and policy requirements arising from a wide spectrum of activities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of an evolving range of threats. A TTS recognizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user’s context and evolves as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context evolves. The user chooses to accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protections and risks of a tailored space, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attributes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 space must be expressible in an understandable way to support informed choice and must be readily customized, negotiated and adapted.

    The scientific challenge of tailored spaces is to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 separation, isolation, policy articulation, negotiation, and requisite assurances to support specific cyber sub-spaces.

  2. Moving Target: Research into Moving Target (MT) technologies will enable us to create, analyze, evaluate, and deploy mechanisms and strategies that are diverse and that continually shift and change over time to increase complexity and cost for attackers, limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exposure of vulnerabilities and opportunities for attack, and increase system resiliency. The characteristics of a MT system are dynamically altered in ways that are manageable by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender yet make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack space appear unpredictable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker.

    MT strategies aim to substantially increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of attacks by deploying and operating networks and systems in a manner that makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m less deterministic, less homogeneous, and less static.

  3. Cyber Economic Incentives: Cybersecurity practices lag behind technology. Solutions exist for many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats introduced by casual adversaries, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se solutions are not widely used because incentives are not aligned with objectives and resources are not correctly allocated. Secure practices must be incentivized if cybersecurity is to become ubiquitous, and sound economic incentives need to be based on sound metrics, processes that enable assured development, sensible and enforceable notions of liability and mature cost/risk analysis methods.


This is lovely. Great. However, if you're going to spend $4 billion, why not focus on better operations. The problem with this endeavor is that it is driven by researchers. This is my personal opinion, but researchers do not know what is happening inside real enterprises. Researchers reply "How do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know where we're going?" I know where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are going because I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of R&D efforts and I don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real problems in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise.

Harlan Carvey always makes this point, and he is right: many enterprises are not conducting counter-intrusion operations at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level that is required for modern defense. We don't need output from a research project to be yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspect of digital security that is not designed, built, or run properly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT environment.

Thursday, June 10, 2010

June 2010 Hakin9 Magazine Published


The new June 2010 Hakin9 has been published in .pdf form. It looks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y replaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registration-based download with a link straight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .pdf -- nice. The article Testing Flash Memory Forensic Tools – part two looks interesting, and I always like reading whatever Matt Jonkman writes. Check it out -- it's free!

"Untrained" or Uncertified IT Workers Are Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Primary Security Problem

There's a widespread myth damaging digital security policy making. As with most security myths it certainly seems "true," until you spend some time outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy making world and think at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level where real IT gets done.

The myth is this: "If we just had a better trained and more professional IT corps, digital security would improve."

This myth is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story White House Commission Debates Certification Requirements For Cybersecurity Pros. It says in part:

A commission set up to advise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Obama administration on cybersecurity policy is considering recommending certification and training for federal IT security employees and contractors.

The Commission on Cybersecurity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 44th Presidency, which in December 2008 issued its Securing Cyberspace for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 44th Presidency report to Congress, is currently working on a sequel to that report, due sometime in late June or early July. The commission, made up of a who's who of experts and policy-makers, is debating strategies for building and developing a skilled cybersecurity workforce for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S., as well as issues surrounding an international cybersecurity strategy and online aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication...

[R]egulated entities, such as critical infrastructure firms, also would likely fall within its scope.


My opinion? This is a jobs program for security training and certification companies.

(Disclaimer: I still teach TCP/IP Weapons School four times per year for Black Hat, and I organize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Incident Detection Summit for SANS. I've also held cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP since 2001. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this makes you more or less inclined to listen to me is up to you!)

So what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem? Isn't training good for everyone?

In a world of exploding Federal budgets, every new spending proposal should be carefully examined. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

[M]andating certifications could be a bit limiting -- and expensive -- for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feds. "I don't know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government has that kind of money lying around." Certification courses can cost thousands of dollars per person, for example.

Here's my counter-proposal that will be cheaper, more effective, and still provide a gravy train for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trainers and certifiers:

Train Federal non-IT managers first.

What do I mean? Well, do you really think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with digital security involves people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front lines not knowing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are supposed to do? In my opinion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is management who remains largely ignorant of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern security environment. If management truly understood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir environment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would be reallocating existing budgets to train cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir workforce to better defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir agencies.

Let's say you still think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is that people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front lines do not know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are supposed to do. Whose fault is that? Easy: management. A core responsibility of management is to organize, train, and equip cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir teams to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, in agencies where IT workers may not be qualified, I guarantee cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir management is failing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responsibilities.

So why not still start with training IT workers? Simple: worker gets trained, returns to job, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following conversation occurs:

Worker to boss: "Hey boss, I just learned how terrible our security is. We need to do X, Y, and Z, and stop listening to vendors A, B, and C, and hire people 1, 2, and 3, and..."

Boss to worker: "Go paint a rock."


Instead of spending money first on IT workers, educate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir management, throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security risks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir public and private lives. Unleash competent Blue and Red teams on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir agencies, perform some tactical security monitoring, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results to a class where attendees sign a waiver saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own activity is subject to monitoring. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class shock cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crowd by showing how insecure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir environment is, how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructors know everyone's Facebook and banking logins, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could cause professional and personal devastation for every attendee and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir agency.

We need to help managers understand how dangerous cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world is and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m allocate budgets accordingly.

Wednesday, June 09, 2010

Publicly Traded Companies Read This Blog

I think some publicly traded companies read this blog! Ok, maybe I'm dreaming, but consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story After Google hack, warnings pop up in SEC filings by Robert McMillan:

Five months after Google was hit by hackers looking to steal its secrets, technology companies are increasingly warning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir shareholders that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may be materially affected by hacking attempts designed to take valuable intellectual property.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few months Google, Intel, Symantec and Northrop Grumman -- all companies thought to have been targets of a widespread spying operation -- have added new warnings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir U.S. Securities and Exchange Commission filings informing investors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks of computer attacks...

Google warned that it could lose customers following a breach, as users question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of its security. "Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques used to obtain unauthorized access, disable or degrade service, or sabotage systems change frequently and often are not recognized until launched against a target, we may be unable to anticipate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se techniques or to implement adequate preventative measures," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company said in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filing.

Google's admission that it had been targeted put a public spotlight on a problem that had been growing for years: targeted attacks, known to security professionals as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced persistent threat (APT)...


So how do I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y read my blog? Check out my February 2008 post Justifying Digital Security via 10-K Risk Factors:

Perhaps digital security could try aligning itself with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk factors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company 10-K?

More directly, check out my May 2009 post President Obama's Real Speech on Cyber Security:

We will work with Congress to establish a national breach disclosure law, and we will require publicly traded companies to outline digital risks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir annual 10-K filings.

Well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President didn't say that (I did), but thankfully companies are not waiting around for President Obama to be a real information security leader.

Sunday, June 06, 2010

Simple Questions, Difficult Answers

Recently I had a discussion with one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISOs in my company. He asked a simple question:

"Can you tell me when something bad happens to any of my 100 servers?"

That's a very reasonable question. Don't get hung up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wording. If it makes you feel better, replace "something bad happens to" with "an intruder compromises," or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r wording that conveys cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question in a way you like.

It's a simple question, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is surprisingly difficult. Let's consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 factors that affect answering this question.

  • We need to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 servers.


    • We will almost certainly need IP addresses.


      • How many IP addresses does each server have?

      • What connectivity does each IP address provide?

      • Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y IPv4, IPv6, both?

      • Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y static or dynamic? (Servers should be static, but that is unfortunately not universal.)


    • We will probably need hostnames.


      • How many hostnames does each server have?

      • What DNS entries exist?

      • Extrapolate from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP questions above to derive related hostname questions.


    • We will need to identify server users and owners to separate authorized activity from unauthorized activity, if possible.


  • What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function and posture of each server?


    • Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server Internet-exposed? Internally exposed? A combination? Something different?

    • How is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server used? What sort of services does it provide, at what load?

    • What is considered normal server activity? Suspicious? Malicious?

  • What data can we collect and analyze to detect intrusion?


    • Can we see network traffic?


      • Do we have instrumentation in place to collect data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 servers in question?

      • Can we see network traffic involving each server interface?

      • Is some or all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic encrypted?

      • Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server use obscure protocols?

      • What volume of data do we need to analyze?

      • What retention period do we have for this data?

      • What laws, regulations, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r restrictions affect collecting and analyzing this data?


    • Can we collect host and application logs?


      • Do we have instrumentation in place to collect data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 servers in question?

      • Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs standard? Nonstandard? Obscure? Binary?

      • Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs complete? Useful?

      • What volume of data do we need to analyze?

      • What retention period do we have for this data?

      • What laws, regulations, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r restrictions affect collecting and analyzing this data?


    • Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection and analysis process sufficient to determine when an intrusion occurs?


      • Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data sufficiently helpful?

      • Are our analysts sufficiently trained?

      • Do our tools expose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data for analysis in an efficient and effective manner?

      • Do analysts have a point of contact for each server knowledgeable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server's operations, such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst can determine if activity is normal, suspicious, or malicious?




I'll stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. I'm not totally satisfied with what I wrote, but you should have a sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difficulty associated with answering this CISO's question.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, at what number is this process likely to yield results in your organization, and at what number will it fail? Can it be done for 1 server? 10? 100? 1,000? 10,000? 100,000?

Friday, June 04, 2010

Reminder for Incident Responders

I found this post [Dailydave] How to pull a dinosaur out of a hat in 2010 by Dave Aitel to contain two warnings for incident responders:

I do know that reliably owning Wireshark on Windows 7 is priceless.

and

So many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise very cautious people don't realize that RDP is like giving your passwords away to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote machine. So we had to write a trojan that stole cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passwords as people RDP'd in and we installed it for demos on various client sites.


The first is a reminder that intruders sometimes practice counter-forensics, i.e., attacking defensive tools. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post I just linked from 2007 mentions Wireshark vulnerabilities. Some things never change.

The second is a reminder that gaining remote access to suspected intrusion victims is a risky gambit. If you suspect a system is compromised, and you connect to it, expect trouble. This applies across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spectrum of intruders, from mindless malware to advanced persistent threat. Your best bet is to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r as much evidence as possible without ever touching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, if possible. Since you can't trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim to report in a trustworthy manner anyway, this has always been sound advice.

As a bonus, Dave throws in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

My favourite latest is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NGINX remote exploit which works even when you don't expect it to!

This reminds me that many intruders use Nginx to host cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Web-based C2 servers. If you want to practice aggressive incident response, you may consider attacking that infrastructure yourself. Intruders tend not to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best defenders.